「見積もりを3社に依頼したら、最安値10万円・最高値480万円と桁が違う回答が返ってきた」──情報システム担当者やCISOからよく聞く悩みです。Webアプリケーション脆弱性診断の費用は、診断手法・対象ページ数・認証の有無・レポートの深さなど複数の変数が絡み合うため、相場が「幅が大きすぎてわからない」と感じるのは当然です。本記事では2026年現在の国内相場を種別・規模別に整理し、費用を決める要因と失敗しない発注のコツを実務目線で解説します。
Webアプリ脆弱性診断の種別と費用相場
脆弱性診断は大きく「ツール診断(自動診断)」と「手動診断」に分かれ、さらに情報提供範囲によって「ブラックボックス」「グレーボックス」「ホワイトボックス」の3方式が存在します。それぞれ費用とカバレッジが異なるため、まず全体像を把握することが重要です。
ツール診断 vs 手動診断
ツール診断はOWASP ZAPやBurp Suite Proなどのスキャナーを用いて自動的に脆弱性を検出します。短時間・低コストで実施できる反面、ビジネスロジック起因の脆弱性や複雑な認証フローには弱点があります。手動診断は熟練したセキュリティエンジニアが実際に操作・分析するため、見落としが少ない一方で工数がかかり費用も高くなります。
項目 | ツール診断(自動) | 手動診断 |
|---|---|---|
費用相場 | 5万〜30万円 | 50万〜300万円 |
診断期間 | 数時間〜2営業日 | 3日〜3週間 |
脆弱性検出精度 | 既知パターン中心、誤検知あり | 高精度、ゼロデイ系にも対応 |
ビジネスロジック診断 | ほぼ不可 | 対応可能 |
レポート品質 | 自動出力(要精査) | エンジニアによる考察付き |
向いているケース | 定期スキャン・予算重視 | リリース前・コンプライアンス対応 |
ブラックボックス・グレーボックス・ホワイトボックスの費用比較
情報提供の度合いによっても費用は変わります。ブラックボックスは外部攻撃者の視点で情報なしに診断するため準備工数が少なくなる場合がある一方、内部構造起因のリスクは発見しにくくなります。ホワイトボックスはソースコードや設計書を提供するため網羅性は最も高くなりますが、レビュー工数が増えます。
方式 | 提供情報 | 費用の目安(中規模アプリ) | 特徴 |
|---|---|---|---|
ブラックボックス | URL・アカウントのみ | 30万〜150万円 | 外部攻撃者視点、網羅性やや低め |
グレーボックス | API仕様・画面遷移図なども提供 | 50万〜200万円 | コストと網羅性のバランスが良い |
ホワイトボックス | ソースコード・設計書すべて提供 | 100万〜400万円 | 最高網羅性、SAST連携も可能 |
規模・ページ数別の費用目安
費用の見積もりでよく使われる単位は「画面数(ページ数)」または「機能数(APIエンドポイント数)」です。以下は手動診断(グレーボックス)を基準にした国内ベンダーの一般的な相場です。
規模 | 画面数の目安 | 費用目安 | 期間目安 | 典型例 |
|---|---|---|---|---|
小規模 | 〜50ページ | 30万〜80万円 | 3〜5営業日 | コーポレートサイト、LP、小規模EC |
中規模 | 50〜200ページ | 80万〜200万円 | 1〜2週間 | 会員制サービス、社内システム、中規模EC |
大規模 | 200ページ以上 | 200万〜500万円以上 | 2〜4週間以上 | 金融・医療系基幹システム、大規模SaaS |
API専門診断 | 〜100エンドポイント | 20万〜100万円 | 2〜7営業日 | REST/GraphQL API、モバイルバックエンド |
診断費用を左右する5つの要因
1. 対象範囲の明確さ
「全機能を診断してほしい」という依頼は、ベンダー側の解釈次第で工数が2〜3倍変わります。ログイン前の公開画面のみか、管理者画面も含むか、外部連携APIも対象かを事前に整理した上でRFPを作成すると、見積もりのブレを大幅に減らせます。
2. 認証・セッション管理の複雑さ
ゲスト・一般ユーザー・管理者など複数ロールが存在するシステムでは、各権限でのテストが必要なため工数が増加します。シングルサインオン(SSO)や多要素認証(MFA)が絡む場合はさらに準備コストがかさみ、費用が20〜40%増になるケースも珍しくありません。
3. テスト手法と深度
OWASP Top 10への準拠確認のみであれば標準的な費用で対応可能ですが、CVSS 3.1に基づく詳細リスク評価やエクスプロイト実証(PoC)まで要求する場合は追加費用が発生します。金融や医療など規制産業向けには、PCI DSS・FISC・ISMS要件への対応マッピングを求めるケースもあり、その分レポート作成工数が増加します。
4. レポートの品質と言語
自動スキャン結果をそのまま出力する「生成レポート」から、エンジニアが修正優先度・再現手順・推奨対策を日本語で丁寧に記述した「精査済みレポート」まで、品質の幅は広いです。
5. 再診断(修正確認診断)の有無
初回診断で発見された脆弱性を修正した後、対策が有効かを確認する「再診断」を初期費用に含むかどうかで、トータルコストが変わります。再診断込みのパッケージは初回費用が10〜20%高めになる一方、別途発注すると20万〜50万円が追加になる場合があります。
脆弱性診断・ペネトレーションテスト・BASの費用比較
Webアプリのセキュリティ評価には「脆弱性診断」以外にも「ペネトレーションテスト(侵入テスト)」や「BAS(Breach and Attack Simulation)」という手法があります。
項目 | 脆弱性診断 | ペネトレーションテスト | BAS |
|---|---|---|---|
主な目的 | 脆弱性の洗い出し・一覧化 | 実際の侵入経路・影響範囲の実証 | 防御制御の継続的な有効性検証 |
費用相場 | 5万〜500万円 | 100万〜1,000万円以上 | 年間50万〜300万円(SaaS型) |
実施頻度 | 年1〜2回が多い | 年1回または重要イベント前 | 常時・自動実行 |
技術的深度 | 中程度 | 高(エクスプロイト実証含む) | 制御検証に特化 |
主な利用シーン | リリース前・定期点検・コンプライアンス | 基幹システム・経営層への説明責任 | SOC強化・セキュリティ成熟度向上 |
ペネトレーションテストの費用についてはペネトレーションテスト費用・相場ガイド【2026年版】で詳しく解説しています。また、BASの導入コストや選定ポイントについてはBAS(侵害・攻撃シミュレーション)導入費用ガイドをあわせてご参照ください。
費用だけで選ぶと失敗する理由と選び方のコツ
失敗例1:「安い=自動スキャンのみ」に気づかなかった
10万円以下の診断サービスの多くはツール診断に限定されており、ビジネスロジック脆弱性(不正な金額入力・越権アクセスなど)は検出されません。コンプライアンス要件によっては「手動診断による確認」が必須とされているため、要件を満たさない診断書を提出して差し戻されるケースが実際に起きています。
選び方の5つのコツ
- 診断範囲をスコープシートで明文化する:対象URL・対象ロール・除外範囲を文書化してから相見積もりを取る。
- サンプルレポートを必ず確認する:脆弱性の説明・再現手順・CVSS評価・修正推奨の品質はベンダーによって大きく異なる。
- エンジニアの資格・実績を確認する:OSCP・CEH・情報処理安全確保支援士など資格の有無と、同業種での診断実績を問い合わせる。
- 再診断ポリシーを確認する:修正後の再確認が料金に含まれるか、追加費用はいくらかを明示させる。
- 報告会・質疑応答の有無を確認する:レポート納品のみで終わるベンダーよりも、修正優先度について担当エンジニアと直接議論できるベンダーのほうが実務上の価値は高い。
AEVUSのWebアプリ脆弱性診断サービスでは、グレーボックス・手動診断を基本としながら、CVSS 3.1準拠の日本語精査レポートと修正相談を標準提供しています。詳細はWebアプリ脆弱性診断サービスページをご覧ください。
よくある質問(FAQ)
Q1. 年1回の脆弱性診断で十分ですか?
A. アプリケーションの更新頻度と重要度によって異なります。機能追加・大規模改修のたびに新たな脆弱性が生じる可能性があるため、CI/CDパイプラインへのSAST組み込みや半年ごとの定期診断が推奨されます。個人情報や決済情報を扱うシステムでは、PCI DSS・個人情報保護法ガイドラインの観点から年1回以上の診断が実質的に必要となるケースが増えています。
Q2. 無料のOSSスキャナーと商用サービスの違いは何ですか?
A. OWASP ZAPなどのOSSスキャナーは導入コストゼロで手軽に始められますが、誤検知の精査・チューニングに相応のスキルが必要です。商用診断サービスでは熟練エンジニアによる精査・再現確認・日本語レポートが含まれるため、社内セキュリティ専門人材が不足している企業にとっては商用サービスのほうが総コストを抑えられる場合があります。
Q3. 診断中にサービスが止まったり、本番環境に影響が出たりしますか?
A. 適切な診断ベンダーは本番への影響を最小化するアプローチを取ります。ただし、負荷テスト相当のスキャンや一部の破壊的テストはステージング環境で実施するのが一般的です。契約前に「本番環境での診断可否」「禁止アクションのスコープ外明示」を明確にすることを推奨します。
Q4. 診断費用は損金算入(経費計上)できますか?
A. 一般的に、セキュリティ診断サービスの費用は「情報システムの維持管理費」として損金算入が可能とされています。ただし、税務上の取り扱いは企業の状況によって異なるため、具体的な処理方法については顧問税理士・公認会計士にご確認ください。
Q5. 診断結果はどのくらいの期間で納品されますか?
A. ツール診断であれば診断完了から3〜5営業日、手動診断であれば診断期間終了後1〜2週間が一般的な納品目安です。リリーススケジュールに合わせるためにも、診断開始の4〜8週間前には発注を完了させることを推奨します。
まとめ
- ツール診断は5万〜30万円、手動診断は50万〜300万円が国内相場の目安
- 小規模アプリ(〜50ページ)は30万〜80万円、中規模(50〜200ページ)は80万〜200万円、大規模は200万円〜
- 費用を左右するのは「対象範囲」「認証の複雑さ」「テスト手法」「レポート品質」「再診断の有無」の5要因
- 最安値ベンダーの選定はリスクを伴う。スコープの明文化・サンプルレポート確認・エンジニア実績の確認が失敗を防ぐ鍵
